Kurucusu Mauro Eldritch liderliğindeki ortak soruşturma BCA LTDTehdit istihbaratı girişimiyle birlikte yürütülen Kuzey Taraması Ve HERHANGİ BİR ÇALIŞMA, Etkileşimli kötü amaçlı yazılım analizi ve tehdit istihbaratına yönelik bir çözüm, Kuzey Kore’nin en kalıcı sızma planlarından birini ortaya çıkardı: Lazarus Grubu’nun Ünlü Chollima bölümüne bağlı uzak BT çalışanlarından oluşan bir ağ.
Araştırmacılar ilk kez operatörlerin çalışmasını izlemeyi başardı canlıgerçek geliştirici dizüstü bilgisayarları olduğuna inandıkları şeyler üzerindeki etkinliklerini kaydediyor. Ancak makineler, ANY.RUN tarafından oluşturulan, tamamen kontrol edilen, uzun süre çalışan sanal alan ortamlarıydı.
Kurulum: İşe Alın, Sonra Onları İçeri Alın
 |
| Sahte iş fırsatı sunan işe alım görevlisi mesajının ekran görüntüsü |
Operasyon, NorthScan’in Heiner Garcia “Aaron” (“Blaze” olarak da bilinir) takma adını kullanarak Lazarus’a işe alım görevlisi tarafından hedef alınan ABD’li bir geliştiricinin kimliğine büründü.
Bir işe yerleştirme “işi” gibi davranan Blaze, sahte geliştiriciyi solist olarak işe almaya çalıştı; Bilinen bir Chollima taktiği Kuzey Koreli BT çalışanlarını Batılı şirketlere kaydırmak için kullanılıyordu. finans, kripto, sağlık ve mühendislik sektörler.
 |
| Mülakat süreci |
Şema tanıdık bir modeli izledi:
- bir kimliği çalmak veya ödünç almak,
- AI araçları ve paylaşılan yanıtlarla röportajları geçmek,
- kurbanın dizüstü bilgisayarı aracılığıyla uzaktan çalışmak,
- maaşı Kuzey Kore’ye geri aktarın.
Blaze, SSN, ID, LinkedIn, Gmail ve 7/24 dizüstü bilgisayar kullanılabilirliği de dahil olmak üzere tam erişim talebinde bulunduğunda ekip ikinci aşamaya geçti.
Tuzak: Gerçek Olmayan Bir “Dizüstü Bilgisayar Çiftliği”
 |
| ANY.RUN’un Etkileşimli Sandbox’ı tarafından sağlanan güvenli bir sanal ortam |
BCA LTD’den Mauro Eldritch, gerçek bir dizüstü bilgisayar kullanmak yerine, her biri kullanım geçmişi, geliştirici araçları ve ABD konut proxy yönlendirmesi ile tamamen aktif bir kişisel iş istasyonuna benzeyecek şekilde yapılandırılmış ANY.RUN Sandbox’ın sanal makinelerini kurdu.
Ekip ayrıca operatörleri uyarmadan çökmeleri, bağlantıyı kısıtlamayı ve her hareketin anlık görüntüsünü almaya zorlayabilir.
Ünlü Chollima’nın Alet Çantasında Ne Buldular
Korumalı alan oturumları, kötü amaçlı yazılım dağıtımı yerine kimlik devralma ve uzaktan erişim için oluşturulmuş basit ama etkili bir araç setini ortaya çıkardı. Chrome profilleri senkronize edildikten sonra operatörler şunları yükledi:
- Yapay zeka destekli iş otomasyon araçları Uygulamaları otomatik doldurmak ve röportaj yanıtları oluşturmak için (Copilot, AiApply, Final Round AI’yi basitleştirin).
- Tarayıcı tabanlı OTP oluşturucular (OTP.ee / Authenticator.cc) kimlik belgeleri toplandıktan sonra mağdurların 2FA’sını işlemek için.
- Google Uzak MasaüstüPowerShell aracılığıyla sabit bir PIN ile yapılandırılan ve ana bilgisayarın kalıcı kontrolünü sağlayan.
- Rutin sistem keşfi (dxdiag, systeminfo, whoami) donanımı ve ortamı doğrulamak için.
- Bağlantılar sürekli olarak yönlendiriliyor Astrill VPN’iönceki Lazarus altyapısına bağlı bir model.
Hatta bir oturumda operatör, “geliştiriciden” kimliğini, SSN’sini ve banka ayrıntılarını yüklemesini isteyen bir Not Defteri mesajı bırakarak operasyonun amacını doğruladı: tek bir kötü amaçlı yazılım bile dağıtmadan tam kimlik ve iş istasyonunun ele geçirilmesi.
Şirketlere ve İşe Alma Ekiplerine Uyarı
Uzaktan işe alım, kimlik tabanlı tehditler için sessiz ama güvenilir bir giriş noktası haline geldi. Saldırganlar genellikle meşru görünen röportaj istekleriyle bireysel çalışanları hedef alarak kuruluşunuza ulaşır. İçeriye girdikten sonra risk, tehlikeye atılan tek bir çalışanın çok ötesine geçer. Bir casus, gerçek operasyonel etki taşıyan dahili kontrol panellerine, hassas iş verilerine ve yönetici düzeyindeki hesaplara erişim sağlayabilir.
Şirket içinde farkındalık yaratmak ve ekiplere şüpheli herhangi bir şeyi kontrol etmeleri için güvenli bir yer sağlamak, yaklaşmayı erken durdurmak ile daha sonra tam bir iç uzlaşmayla uğraşmak arasındaki farkı yaratabilir.